课程编码 802.1X协议原理及配置.ppt

课程编码 802.1X协议原理及配置,ISSUE 1.0,2,引入,初步认识和了解802.1X协议的背景，了解802.1X协议具体有什么特点？是做什么用的？有什么样的体系机构？采用什么样的认证流程？对于设备有什么特殊的要求？适合在何种范围下面使用？最后我们还要学习EAPoL协议的具体内容。,3,学习目标,了解802.1X的来源和作用理解802.1X认证体系的结构和认证过程理解EAPoL协议内容掌握802.1X协议的相关配置,学习完本课程，您应该能够：,4,课程内容,802.1X认证体系的结构802.1X的认证过程EAPoL协议802.1X的相关配置,5,802.1X协议概述,802.1x协议起源于802.11协议，最初应用于无线接入认证在802.1x出现之前，LAN认证没有直接控制到端口的方法，基于PPPOE的BAS宽带接入认证方式，设备价格高昂。因此有必要采取新的端口认证机制来实现用户级的接入控制。802.1x就是IEEE为解决基于端口的接入控制而定义的一个标准。目前业界主流厂家都已经实现对802.1X的支持,6,802.1X协议的作用,802.1X首先是一个认证协议，是一种对LAN用户进行认证的方法和策略。802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个逻辑端口，对于无线局域网来说可能是一条信道）802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPoL（Extensible Authentication Protocol over LAN）通过。,7,802.1X认证的体系结构,名词解释PAE：端口认证实体。认证机制负责处理算法和协议的实体EAP：可扩展认证协议。Extensible Authentication ProtocolEAPoL:EAP over LAN,8,802.1X认证的体系结构,802.1X的认证体系分为三部分客户端 Supplicant System认证系统 Authenticator System认证服务器 Authentication Server System,9,客户端,客户端指需要接入以太网，获取交换机提供服务的设备，如PC机。客户端需要支持EAPoL协议。客户端必须运行802.1X客户端软件：如华为三康的802.1X客户端、Microsoft Windows XP自带客户端,10,客户端,华为三康提供的客户端,winXP自带的客户端,11,认证系统,认证系统通常是边缘交换机。即根据客户端的认证状态控制接入的设备认证系统在客户端和认证服务器间充当代理角色（proxy）。认证系统与客户端间通过EAPoL协议进行通讯，认证系统与认证服务器间通过EAP over Radius（或承载在其他高层协议上）。通常将此过程称为EAP Relay。Huawei-3Com设备实现的是EAPoL协议在设备内终结并转换成标准的RADIUS协议报文认证系统要求客户端提供identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器。认证系统根据认证结果控制端口是否可用。,12,认证服务器,认证服务器认证服务器对客户端进行实际认证。认证服务器核实客户的identity，通知认证系统是否允许客户端访问网络和获取交换机提供的服务。由于 EAP 协议较为灵活，除了 IEEE 802.1x 定义的端口状态外，华为三康的CAMS认证服务器实际上也可以用于认证和下发更多用户相关的信息，如下发VLAN、QOS参数下发、加密认证密钥、DHCP响应等。,13,课程内容,802.1X认证体系的结构802.1X的认证过程EAPoL协议802.1X的相关配置,14,802.1X的认证过程：基本交互过程,15,802.1X的认证过程：名词解释,非受控端口（Uncontrolled Port）始终处于双向连通状态，只允许802.1X认证协议报文通过。受控端口（Controlled Port）客户端未通过认证出于非连通状态，不允许任何报文通过。只有在客户端认证通过后才处于连通状态，允许用户通过其访问任何网络资源。,16,802.1X的认证过程：端口状态,认证前后端口的状态端口的状态决定了客户端是否能接入网络非授权状态（unauthorized）在启用802.1x认证时端口的初始状态。在该状态下，除802.1X 认证报文外不允许任何报文通过。授权状态（authorized）客户通过认证后端口的状态，允许客户端通过端口进行所有报文的通讯。,authorized,unauthorized,17,802.1X的认证过程,基本的认证过程认证通过前，通道的状态为unauthorized，此时只能通过EAPoL认证报文，不能通过业务报文认证通过后，通道的状态切换为authorized，此时可以可以任何报文。认证系统从远端认证服务器可以得到用户的信息，如VLAN、CAR参数、优先级、用户的访问控制列表等等。认证系统控制用户的流量就接受上述参数的监管。,18,802.1X的认证过程,认证通过之后的保持认证系统可以定时要求客户端重新认证，时间可设。重新认证的过程对客户端的用户是透明的(用户不需要重新输入密码)提高记费的准确性下线方式物理端口Down重新认证不通过或者超时客户端发起EAP_Logoff帧网管控制导致下线,19,802.1X的认证过程,端口接入控制的模式ForceAuthorized常开模式 ForceUnauthorized 常关模式Auto 协议控制模式激活802.1X后，端口设置为非授权状态。端口仅允许EAPoL报文通过。当物理接口UP或接收到EAPoL-start报文，开始认证流程。认证系统relay客户端和认证服务器间的报文。认证通过后端口切换到授权状态，在退出前可以进行重认证。,20,端口控制的方式（一）,基于物理端口一个客户端占用一个物理端口，对应一个PAE状态机实体。每个物理端口包含2个逻辑端口：受控端口和非受控端口客户端需要与交换机（认证系统）直接相连,21,端口控制的方式（二）,基于用户设备的MAC多个客户端共用一个物理端口，这种类型的受控端口为每一个客户端MAC创建一个PAE状态机实体。每个MAC有2个逻辑端口：受控端口和非受控端口客户端和认证系统之间可以存在普通交换机MAC的个数是有限制的（可配置），当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址，做为受控端口的标识。客户端注销时对应的受控端口资源被释放,22,端口控制的方式（三）,基于VLAN ID 对利用不同物理端口的用户进行VLAN认证控制，即只允许访问指定VLAN，限制用户访问非授权VLAN；用户可以利用受控端口，访问指定VLAN，同一用户可以在不同的端口访问相同的VLAN,23,课程内容,802.1X认证体系的结构802.1X的认证过程EAPoL协议802.1X的相关配置,24,EAPoL协议,EAPoL Extensible Authentication Protocol over LANIEEE 802.1x定义了基于端口的网络接入控制协议，用于客户端和认证系统之间。,25,EAPoL帧格式,二层协议，封装在以太网帧PAE Type0 x888E 802.1X认证Version 0 x01 版本号Packet Type,EAPoL帧结构,值 域,占用字节,PAE Type,2,Version,Packet Type,Packet LEN,Packet Bady,1,1,2,N,值 域,值,EAP-Packet,0,EAPoL-Start,EAPoL-Logoff,EAPoL-Key,1,2,3,26,EAPoL协议交互过程,27,EAPoL-Start 报文,EAPoL-Start 报文 用于通知认证系统开始EAP认证,28,EAP-Packet的格式：Code域,Code域为一个字节，表示了EAP数据包的类型,Code,Identifier,Length,Data,一个典型的EAP认证的过程分为：request、response、success或者failure阶段,29,EAP-Packet的格式：Length域和Data域：,Code,Identifier,Length,Data,Length域为两个字节，表明了EAP数据包的长度，包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（Padding）,在接收时应该被忽略掉。,Data域为0个或者多个字节，Data域的格式由Code的值来决定。,Length域和Data域：,30,不同的Code值时报文的格式和各个域的定义,当Code域为1或者2，为EAP的request和response报文，报文的格式为：,Code,Identifier,Length,Type,Type Data,Identifier域为一个字节。在等待Response时根据timeout而重发的Request的Identifier域必须相同。任何新的（非重发的）Request必须修改Identifier域。如果对方收到了重复的Request，并且已经发送了对该Request的Response，则对方必须重发该Response。如果对方在给最初的Request发送Response之前收到重复的Request（也就是说，它在等待用户输入），它必须丢弃重复的Request。,31,不同的Code值时报文的格式和各个域的定义,Code,Identifier,Length,Type,Type Data,Type域为一个字节,该域表明了Request或Response的类型。在EAP的Request或Response中必须出现且仅出现一个Type。通常Response中的Type域和Request中的Type域相同。但是，Response可以有个Nak类型，表明Request中的Type不能被对方接受。当对方发送Nak来响应一个Request时，它可以暗示它所希望使用并且支持的认证类型。Type Data域随Request和相对应的Response的Type的不同而不同。,32,不同的Code值时报文的格式和各个域的定义,Code,Identifier,Length,Type,Type Data,Type域的6个值域：其中头3种Type被认为特殊情形的Type，其余的Type定义了认证的交换过程。Nak类型仅对Response数据包有效，不允许把它放在Request中发送。Type1IdentifierType2NotificationType3Nak（Response Only）Type4MD5-ChallengeType5One-Time Password(OTP)Type4Generic Token Card,33,不同的Code值时报文的格式和各个域的定义,当Code域为3或者4，为EAP的Success和Failure报文，报文的格式为：,Code,Identifier,Length,Identifier域为一个字节，辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹配。,34,EAP-Success 报文,35,课程内容,802.1X认证体系的结构802.1X的认证过程EAPoL协议802.1X的相关配置,36,开启/关闭802.1x特性,在系统视图或以太网端口视图下进行下列配置,在系统视图下，不指定任何端口时，开启/关闭全局的802.1x特性，指定端口时，开启/关闭指定端口的802.1x特性。在以太网端口视图下，不能指定端口，开启/关闭本端口的802.1x特性。,37,设置端口接入控制的模式,在系统或以太网端口视图下进行下列配置,当没有指定任何确定的端口时，设置的是所有端口进行接入控制的模式。,38,设置端口接入控制方式,在系统或以太网端口视图下进行下列配置 当没有指定任何确定的端口时，设置的是所有端口进行接入控制的方式 缺省情况下，802.1x在端口上进行接入控制方式为macbased，即基于MAC地址进行认证,39,检测通过代理登录交换机的用户,在系统或以太网端口视图下进行下列配置,40,设置端口接入用户数量的最大值,在系统或以太网端口视图下进行下列配置,41,设置允许DHCP触发认证,在系统视图下进行下列配置,42,设置802.1x用户的认证方法,目前提供3种认证方法：PAP认证 CHAP认证 EAP认证：交换机将认证信息以EAP报文的形式发送给RADIUS服务器。目前交换机支持以下三种EAP认证方法：EAP-MD5 EAP-TLS：客户端和RADIUS服务器端通过EAP-TLS（Transport Layer Security，传输层安全）认证方法检查彼此的安全证书，保证双方的正确性，防止网络数据被盗窃。PEAP：受保护的扩展认证协议PEAP（Protected Extensible Authentication Protocol）首先创建和使用TLS安全通道来进行完整性保护，然后进行另一种EAP类型的新的EAP协商，从而完成对客户端的身份验证。,43,设置802.1x用户的认证方法,在系统视图下进行下列配置,44,802.1x的显示和调试,45,802.1x典型配置举例,46,802.1x典型配置举例,#开启指定端口Ethernet 0/1的802.1x特性。Quidway dot1x interface Ethernet 0/1#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。Quidway dot1x port-method macbased interface Ethernet 0/1#创建RADIUS组radius1并进入其视图。Quidway radius scheme radius1#设置主认证/计费RADIUS服务器的IP地址。Quidway-radius-radius1 primary authentication 10.11.1.1Quidway-radius-radius1 primary accounting 10.11.1.2#设置备份认证RADIUS服务器为本地RADIUS认证服务器。Quidway-radius-radius1 secondary authentication 127.0.0.1 1645#设置备份计费RADIUS服务器的IP地址。Quidway-radius-radius1 secondary accounting 10.11.1.1Quidway-radius-radius1 quit#设置交换机与认证RADIUS服务器交互报文时的加密密码。Quidway local-server nas-ip 127.0.0.1 key nameQuidway radius scheme radius1Quidway-radius-radius1 key authentication name#设置系统与计费RADIUS服务器交互报文时的加密密码。Quidway-radius-radius1 key accounting money,47,802.1x典型配置举例,#设置系统向RADIUS服务器重发报文的时间间隔与次数。Quidway-radius-radius1 timer 5Quidway-radius-radius1 retry 5#设置系统向RADIUS服务器发送实时计费报文的时间间隔。Quidway-radius-radius1 timer realtime-accounting 15#指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。Quidway-radius-radius1 user-name-format without-domainQuidway-radius-radius1 quit#创建用户域并进入其视图。Quidway domain#指定radius1为该域用户的RADIUS方案。Quidway-isp-radius-scheme radius1#设置该域最多可容纳30个用户。Quidway-isp-access-limit enable 30#启动闲置切断功能并设置相关参数。Quidway-isp-idle-cut enable 20 2000#添加本地接入用户。Quidway local-user localuserQuidway-luser-localuser service-type lan-accessQuidway-luser-localuser password simple localpass#开启全局802.1x特性。Quidway dot1x,48,总结,IEEE 802.1x定义了基于端口的网络接入控制协议，其中端口可以是物理端口，也可以是逻辑端口。802.1X关心的只是一个端口（物理的或者逻辑的）是否打开，而不关心打开之后上来的是什么样的报文。802.1x协议只是提供了一种客户端接入认证的手段，它也只是对客户端的认证进行控制，而接入网络设备必须具备的其他的一些安全和管理特性，由各厂家设备自行来提供的。,华为3Com技术有限公司,华为3Com公司网址:www.huawei-华为3Com技术论坛网址:forum.huawei-,